科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道Mozilla:披露软件缺陷 安全研究人员说了算

Mozilla:披露软件缺陷 安全研究人员说了算

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

上周六,Mozilla 基金会的安全事务总监Window Snyder 表示,在披露安全缺陷方面,软件厂商受到了安全研究人员的完全控制。

作者:ZDNet China 2007年3月26日

关键字: 漏洞管理

  • 评论
  • 分享微博
  • 分享邮件
上周六,Mozilla 基金会的安全事务总监Window Snyder 表示,在披露安全缺陷方面,软件厂商受到了安全研究人员的完全控制。

多年来,软件产业一直在推动制订缺陷披露原则。Snyder在ShmooCon黑客会议的一次讨论会上说,这些“负责任的披露”计划产生了一些效果,但安全研究人员仍然控制着这一过程。Snyder说,一切由安全研究人员说了算,他们控制着披露时间,他们控制着厂商是否有足够的发布时间。

公布缺陷详细资料多年来一直是个热门话题。软件产业提倡秘密地披露,等待厂商发布补丁软件后再公开详细资料,它们称之为“负责任的披露”。提前公布缺陷的详细资料将有助于犯罪分子发动攻击,有损厂商的名誉。Snyder说,厂商有责任对向它们通报的缺陷做出及时的回应。

但是,并非所有的人都认可“负责任的披露”原则。安全软件厂商Immunity的Dave Aitel表示,这是软件厂商的一个圈套。“负责任的披露”有利于微软和其它大软件厂商,它们希望控制这一过程。

Aitel说,安全研究人员无需向厂商通报缺陷资料,而是将缺陷信息出售给它。Immunity向安全研究人员购买安全缺陷的详细资料,并在其产品中使用这些资料,其中包括能够被用来入侵计算机和网络的渗透测试。

TippingPoint安全研究经理Rohit Dhamankar说,如果企业运用法律武器威胁安全研究人员,这是一种企业无知的典型例子。

为了获得针对对手的竞争优势,Immunity和TippingPoint等公司都向安全研究人员购买缺陷资料。通过购买缺陷资料,它们的产品能够早于其它产品和在官方补丁软件发布前探测到缺陷。

Veracode的创始人、技术总监Chris Wysopal表示,如果不公开披露,缺陷就得不到修正。公开披露是使缺陷得到真正修正的唯一途径。

Snyder说,是厂商有30天的时间发布补丁软件是一个不错的主意,他还呼吁安全研究人员遵守“负责任的披露”原则。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章